Alle atferdsnormer skal overvåkes av et kontrollorgan som er akkreditert av Datatilsynet. Datatilsynet har laget et nedlastbart dokument på norsk og engelsk med en oversikt over alle akkrediteringskravene.
I samsvar med personvernforordningen (artikkel 41 nr.1) og Det europeiske personvernrådet (EDPB) sine retningslinjer nr. 01/2019 om atferdsnormer og kontrollorganer, må nasjonale og transnasjonale atferdsnormer (Normer) overvåkes av et kontrollorgan som er akkreditert av en kompetent tilsynsmyndighet (Datatilsynet).
Ifølge artikkel 41 nr. 6 i personvernforordningen, og som spesifisert i Personvernrådets retningslinjer, gjelder ikke disse kravene for behandlinger som utføres av offentlige myndigheter.
Kontrollorganet kan enten være eksternt eller internt for eieren av Normen. Et internt kontrollorgan kan være en intern avdeling hos Normeieren, eller en intern komité på ad hoc-basis. I personvernforordningen (artikkel 41 nr. 2) er det listet opp en rekke krav som kontrollorganet må oppfylle for å få akkreditering. Bestemmelsen angir at et kontrollorgan må:
Personvernrådets retningslinjer gir viktig praktisk veiledning og tolkningshjelp i forbindelse med anvendelsen av denne bestemmelsen, og kategoriserer akkrediteringskravene i følgende åtte kategorier:
Det følger også av personvernforordningen at Datatilsynet skal legge frem utkast til akkrediteringskrav for kontrollorganer for Personvernrådet i henhold til konsistensmekanismen.
Datatilsynets krav er basert på kravene i personvernforordningen og kravene i kapittel 12 i EDPBs retningslinjer. De følger også strukturen til Personvernrådets retningslinjer.
Datatilsynets krav til akkreditering av kontrollorganer for atferdsnormer (pdf)
Accreditation requirements for a GDPR code of conduct monitoring body (pdf, engelsk versjon)
Søkere må oppfylle alle akkrediteringskriteriene for å bli akkreditert av Datatilsynet.
Med mindre annet er spesifisert, skal kriteriene gjelde for kontrollorganet, uavhengig av om kontrollorganet er internt eller eksternt.
Akkreditering som kontrollorgan er kun mulig i forbindelse med temaet for én eller flere spesifikke Normer, i henhold til personvernforordningen artikkel 41 nr. 1.
Søknader om akkreditering må leveres skriftlig til Datatilsynet. Vi aksepterer kun søknader på norsk eller engelsk. Søknaden skal inneholde bevis på at kriteriene som er listet opp i denne gjennomgangen er oppfylt, i form av relevant dokumentasjon, sertifikater e.l.
Akkrediteringen av et kontrollorgan skal ikke være til hinder for utviklingen av Normer. Vurderingen av søknaden om akkreditering skal derfor ta hensyn til særegenheter ved behandlingen av personopplysninger i hver sektor. Vurderingen skal også være så fleksibel som mulig, men samtidig overholde de juridiske rammene som er pålagt i personvernforordningen, EDPBs retningslinjer og relevante uttalelser fra EDPB.
Søknaden skal minst inneholde følgende informasjon:
Utover dette følger mer detaljerte dokumentasjonskrav til hvert akkrediteringskrav.
Datatilsynet kan, basert på en risikobasert tilnærming, gjennomføre regelmessige evalueringer av akkrediteringen til kontrollorganet, for å sikre at kontrollorganet fremdeles oppfyller akkrediteringskriteriene. Slike evalueringer kan settes i gang av (men er ikke begrenset til) endringer i Normen, vesentlige endringer i kontrollorganet eller dersom kontrollorganet ikke utfører kontrolloppgavene sine. I tilfeller der det er store endringer knyttet til kontrollorganets evne til å fungere uavhengig og virkningsfullt, skal Datatilsynet alltid utføre slike evalueringer.
Så lenge en evaluering konkluderer med at akkrediteringskriteriene fortsatt er oppfylt, vil kontrollorganet fortsette å beholde akkrediteringsstatusen på ubestemt tid. I henhold til personvernforordningens artikkel 41 nr. 5, kan en slik evaluering føre til en tilbaketrekning av kontrollorganets akkreditering.